Написание сетевого драйвера используя WFP

@OpenSky · Регистрация: 05.07.2016

Author24 — интернет-сервис помощи студентам

Есть ли документация по WFP на Русском языке?

Убежденный · 06.07.2016, 14:33

Например:
Краткий обзор Windows Filtering Platform

Но это не документация, а общее описание некоторых базовых моментов.

@OpenSky · 06.07.2016, 14:47 **[ТС]**

Я как раз таки читал вашу статью... мне как новичку в этом деле мало понятно. Я хочу написать драйвер который фильтрует мою сеть: выводит список адресов интернет страниц на которые я заходил, возможность блокировки того или иного ресурса и блокировка доступа в интернет вообще...

Убежденный · 06.07.2016, 15:25

Это очень непростая задача. Тут дело не в WFP и не в перехвате трафика вообще.
Сейчас многие сайты работают через HTTPS (шифрованный протокол), чтобы вытащить из
этого трафика адрес сайта, нужно на лету внедриться в TLS/SSL-сессию, подменив
сертификат, распарсить HTTP и уже по результатам парсинга действовать дальше.
Иначе ты даже Гугл не сможешь заблокировать (ну если только по IP, но это грубо).

WFP на фоне этого - детская забава.

@OpenSky · 06.07.2016, 15:51 **[ТС]**

Так что WFP вообще не использовать?

Убежденный · 06.07.2016, 16:00

WFP здесь ничем принципиально не лучше и не хуже других технологий
перехвата сетевого трафика - TDI, LSP, NDIS... Просто сложность реализации
твоей задачи не связана с перехватом, она на другом уровне совсем.
Об этом я и хочу предостеречь. Лично у меня когда-то решение такой же
задачи вылилось в много месяцев плотной работы.

@OpenSky · 06.07.2016, 16:08 **[ТС]**

Сообщение от Убежденный

WFP здесь ничем принципиально не лучше и не хуже других технологий
перехвата сетевого трафика - TDI, LSP, NDIS... Просто сложность реализации
твоей задачи не связана с перехватом, она на другом уровне совсем.
Об этом я и хочу предостеречь. Лично у меня когда-то решение такой же
задачи вылилось в много месяцев плотной работы.

С чего посоветуете начать?

Убежденный · 06.07.2016, 16:19

Т.е. отступать ты не собираешься, я правильно понял?

@OpenSky · 06.07.2016, 16:22 **[ТС]**

Нет, мне очень интересно поработать с сетями

Убежденный · 06.07.2016, 16:47

Ок. Начни с основ: "редирект исходящих соединений и перенаправление их
на локальный прокси-сервер". По этому принципу работает подавляющее
большинство программ, которые модифицируют интернет-трафик.

Суть: перехватывается операция установки соединения по TCP-протоколу (для начала
можно хватать только коннекты на 80-ый порт, через который идет HTTP) и коннект
заруливается на 127.0.0.1:NN, где NN-номер порта, на котором висит локальный
прокси-сервер. В WFP для редиректа есть специальный layer, называется
FWPM_LAYER_ALE_AUTH_CONNECT_REDIRECT_V4(V6 для IPv6).

Техника описана здесь:

Using Bind or Connect Redirection
https://msdn.microsoft.com/en-... s.85).aspx

Using Proxied Connections Tracking
https://msdn.microsoft.com/en-... s.85).aspx

Написать прокси-сервер, который просто принимает коннекты и возвращает каждому,
например, простую html-страничку с "Доступ запрещен", не так уж и сложно -
WSAStartup, socket, bind, listen, accept и далее recv, send, shutdown и closesocket,
примеров в сети море.

Это стартовая точка.

@OpenSky · 06.07.2016, 17:20 **[ТС]**

А вы могли бы скинуть исходник из вашей статьи с комментариями к коду? -было бы здорово

Убежденный · 06.07.2016, 18:26

Этого исходника никогда не было. Я просто брал фрагменты кода из реальных
проектов по WFP и слегка модифицировал их, чтобы примеры получались
понятными и в то же время лаконичными. Кстати, примеры на тему WFP
есть в сэмплах Windows Driver Kit, они доступны онлайн.

@OpenSky · 06.07.2016, 22:33 **[ТС]**

Вы до конца разобрались в WFP?

Убежденный · 07.07.2016, 09:15

До конца в WFP никто не разбирается, даже MS

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	06.07.2016, 16:47	10
	Ок. Начни с основ: "редирект исходящих соединений и перенаправление их на локальный прокси-сервер". По этому принципу работает подавляющее большинство программ, которые модифицируют интернет-трафик. Суть: перехватывается операция установки соединения по TCP-протоколу (для начала можно хватать только коннекты на 80-ый порт, через который идет HTTP) и коннект заруливается на 127.0.0.1:NN, где NN-номер порта, на котором висит локальный прокси-сервер. В WFP для редиректа есть специальный layer, называется FWPM_LAYER_ALE_AUTH_CONNECT_REDIRECT_V4(V6 для IPv6). Техника описана здесь: Using Bind or Connect Redirection https://msdn.microsoft.com/en-... s.85).aspx Using Proxied Connections Tracking https://msdn.microsoft.com/en-... s.85).aspx Написать прокси-сервер, который просто принимает коннекты и возвращает каждому, например, простую html-страничку с "Доступ запрещен", не так уж и сложно - WSAStartup, socket, bind, listen, accept и далее recv, send, shutdown и closesocket, примеров в сети море. Это стартовая точка. 0

@OpenSky 0 / 0 / 0 Регистрация: 05.07.2016 Сообщений: 71
	06.07.2016, 17:20 [ТС]	11
	А вы могли бы скинуть исходник из вашей статьи с комментариями к коду? -было бы здорово 0

@OpenSky 0 / 0 / 0 Регистрация: 05.07.2016 Сообщений: 71
	06.07.2016, 22:33 [ТС]	13
	Вы до конца разобрались в WFP? 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	06.07.2016, 14:33	2
	Например: Краткий обзор Windows Filtering Platform Но это не документация, а общее описание некоторых базовых моментов. 0

@OpenSky 0 / 0 / 0 Регистрация: 05.07.2016 Сообщений: 71
	06.07.2016, 14:47 [ТС]	3
	Я как раз таки читал вашу статью... мне как новичку в этом деле мало понятно. Я хочу написать драйвер который фильтрует мою сеть: выводит список адресов интернет страниц на которые я заходил, возможность блокировки того или иного ресурса и блокировка доступа в интернет вообще... 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	06.07.2016, 15:25	4
	Это очень непростая задача. Тут дело не в WFP и не в перехвате трафика вообще. Сейчас многие сайты работают через HTTPS (шифрованный протокол), чтобы вытащить из этого трафика адрес сайта, нужно на лету внедриться в TLS/SSL-сессию, подменив сертификат, распарсить HTTP и уже по результатам парсинга действовать дальше. Иначе ты даже Гугл не сможешь заблокировать (ну если только по IP, но это грубо). WFP на фоне этого - детская забава. 0

@OpenSky 0 / 0 / 0 Регистрация: 05.07.2016 Сообщений: 71
	06.07.2016, 15:51 [ТС]	5
	Так что WFP вообще не использовать? 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	06.07.2016, 16:00	6
	WFP здесь ничем принципиально не лучше и не хуже других технологий перехвата сетевого трафика - TDI, LSP, NDIS... Просто сложность реализации твоей задачи не связана с перехватом, она на другом уровне совсем. Об этом я и хочу предостеречь. Лично у меня когда-то решение такой же задачи вылилось в много месяцев плотной работы. 0

@OpenSky 0 / 0 / 0 Регистрация: 05.07.2016 Сообщений: 71
	06.07.2016, 16:08 [ТС]	7
	Сообщение от Убежденный WFP здесь ничем принципиально не лучше и не хуже других технологий перехвата сетевого трафика - TDI, LSP, NDIS... Просто сложность реализации твоей задачи не связана с перехватом, она на другом уровне совсем. Об этом я и хочу предостеречь. Лично у меня когда-то решение такой же задачи вылилось в много месяцев плотной работы. С чего посоветуете начать? 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	06.07.2016, 16:19	8
	Т.е. отступать ты не собираешься, я правильно понял? 0

@OpenSky 0 / 0 / 0 Регистрация: 05.07.2016 Сообщений: 71
	06.07.2016, 16:22 [ТС]	9
	Нет, мне очень интересно поработать с сетями 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	06.07.2016, 18:26	12
	Этого исходника никогда не было. Я просто брал фрагменты кода из реальных проектов по WFP и слегка модифицировал их, чтобы примеры получались понятными и в то же время лаконичными. Кстати, примеры на тему WFP есть в сэмплах Windows Driver Kit, они доступны онлайн. 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	07.07.2016, 09:15	14
	До конца в WFP никто не разбирается, даже MS 0